Hackers compromise NGINX servers to redirect user traffic

ある脅威者がNGINXサーバーを侵害し、ユーザートラフィックをハイジャックして攻撃者のバックエンドインフラストラクチャを経由させるキャンペーンを行っています。

NGINXは、ウェブ・トラフィック管理のためのオープンソースソフトウェアです。ユーザーとサーバー間の接続を仲介し、ウェブ配信、ロードバランシング、キャッシング、リバースプロキシに使用される。

DataDog Security Labsの研究者が発見したこの悪質なキャンペーンは、アジアのトップレベルドメイン(.in、.id、.pe、.bd、.th)や政府・教育機関のサイト(.edu、.gov)で使用されているNGINXのインストールとBaotaホスティング管理パネルを標的としています。

Wiz

攻撃者は、攻撃者が選択したURLパスの受信リクエストをキャプチャする悪意のある「location」ブロックを注入することで、既存のNGINX設定ファイルを変更します。

そして、元のURLを完全に含むように書き換え、「proxy_pass」ディレクティブを介して攻撃者が管理するドメインにトラフィックを転送します。

悪用されたディレクティブは通常ロードバランシングのために使用され、NGINX がパフォーマンスや信頼性を向上させるために代替のバックエンドサーバグループを経由してリクエストをリルートできるようにします。

Host」、「X-Real-IP」、「User-Agent」、「Referer 」などのリクエストヘッダは、トラフィックを正当なものに見せるために保持されます。

この攻撃は、スクリプト化されたマルチステージツールキットを使用してNGINXコンフィギュレーションインジェクションを実行します。このツールキットは5つのステージで動作します:

  • ステージ1 – zx.sh:初期コントローラスクリプトとして動作し、残りのステージのダウンロードと実行を担当します。これは、curlまたはwgetが使用できない場合にTCP経由で生のHTTPリクエストを送信するフォールバックメカニズムを含みます。
  • ステージ 2 – bt.sh:Baotaパネルによって管理されるNGINX設定ファイルをターゲットにします。server_nameの値に基づいて注入テンプレートを動的に選択し、設定を安全に上書きし、NGINXをリロードしてサービスのダウンタイムを回避します。
  • ステージ3 – 4zdh.sh:sites-enabled、conf.d、sites-availableなどの一般的なNGINX設定の場所を列挙します。csplitやawkのような解析ツールを使用して設定の破損を防ぎ、ハッシュとグローバルマッピングファイルを使用して事前の注入を検出し、リロードする前にnginx -tを使用して変更を検証します。
  • ステージ4 – zdh.sh:.inと.idドメインに重点を置き、主に/etc/nginx/sites-enabledに焦点を絞ったターゲットアプローチを使用します。同じコンフィギュレーション・テストとリロード・プロセスに従い、フォールバックとして強制再起動(pkill)が使用される。
  • ステージ 5 – ok.sh:侵害されたNGINX設定をスキャンして、ハイジャックされたドメイン、インジェクションテンプレート、プロキシターゲットのマップを構築します。収集されたデータは、158.94.210[.]227にあるコマンド&コントロール(C2)サーバーに流出します。
Overview of the hijacking attack
ハイジャック攻撃の概要
出典:Datadog:Datadog

これらの攻撃はNGINXの脆弱性を悪用するのではなく、悪意のある命令をNGINXの設定ファイルに隠しているため、検出が困難です。

また、ユーザートラフィックは意図した宛先に直接到達することが多いため、特別な監視を行わない限り、攻撃者のインフラを通過していることに気付くことはほとんどありません。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

ITインフラの未来はここにある

現代のITインフラは、手作業のワークフローでは対応できないほど高速に動いています。

この新しいTinesガイドでは、チームが隠れた手作業の遅延を削減し、自動応答によって信頼性を向上させ、すでに使用しているツールの上にインテリジェントなワークフローを構築して拡張する方法をご紹介します。